シングルサインオン、IdPサーバーの認証代行可否に関して

シングルサインオン(SAML認証)で実現可能かご相談させて頂きたく存じます。
認識が間違っている箇所があればご指摘頂ければ幸いです。

私が担当しているサイト(ログイン後※ここはサイト独自のログイン)からチャットワークにリンクボタンを設置したいのです。
要望としては、チャットワークにリンクした段階でログインした状態で表示させたいのです。

チャットワーク側はSAML認証が可能らしくIdPで認証後に得られるXMLをPOSTで渡せば
ログイン出来そうかと思ってます。

ここで相談なのですが、
本来はチャットワーク→IdPで認証→チャットワークで認証が出来るかと思いますが、
サーバー側でIdPで認証を代行してXMLをPOSTする様なリンクボタンを設置する事は
実現可能なのでしょうか。

理解が足らず申し訳御座いませんが、何卒宜しくお願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

そもそも「シングルサインオン」ってどういう状態のことを言っているか理解できるでしょうか。
「一度ログインすると同じ認証情報を使って別のサイトへもログインした状態になる」ということです。
すなわち、

※ここはサイト独自のログイン

この時点でシングルサインオンに入っていません。もし仮にこの時点で御社サービスがIdPに認証代行をすることになってしまうと、ユーザー自身の行為によらない認証操作をしてしまうことになり、いわゆるなりすましになります。
悪用されてしまうとシングルサインオンに含まれるあらゆるリソースにユーザーの許可なくアクセス可能になってしまいます。

結論としては、御社サービスへのログインにもIdPによる認証を利用することが必要です。

投稿2018/10/26 01:59